A recente onda de ataques de ransomware e o lançamento da nova Ordem Executiva de Segurança Cibernética prefiguram um maior escrutínio das empresas que administram infraestruturas e dados pessoais críticos.

Os ataques de ransomware estão acontecendo com mais frequência: além do ataque ao Colonial Pipeline, na semana passada os sistemas de saúde da Irlanda foram interrompidos e a AXA Partners foi comprometida após ter anunciado que suas apólices de seguro não cobririam mais as exigências de resgate dos autores de ransomware.

Ataques como o do Colonial Pipeline têm profundas implicações no mundo real: milhões de pessoas sem serviços, perdas de receita na casa dos milhões, reputações manchadas, caos social e problemas generalizados, além de agressores recebendo pagamentos e ficando em liberdade para atingir outros alvos. Os ataques de ransomware tornaram-se comuns há mais de sete anos. Muitas empresas e organizações, privadas e públicas, pequenas e grandes, têm sido vítimas desses ataques.

E no entanto as empresas continuam subestimando o risco de ataques cibernéticos, especialmente os de ransomware. Então por que o ransomware não é uma prioridade máxima para todos? Uma auditoria anterior no Colonial Pipeline mostrou graves falhas em sua postura de segurança, e um pesquisador chegou a dizer: "um aluno da oitava série poderia ter invadido esse sistema".

A recente Ordem Executiva sobre Melhoria da Segurança Cibernética da Nação e leis de privacidade mais rigorosas como a GDPR e CPRA deverão aumentar o interesse nas ramificações do roubo de dados.

A resposta da Norsk Hydro a um ataque de ransomware em 2019 foi um modelo de mudança que demonstrou um profundo desejo de aprender, melhorar e (o mais importante) proteger os dados que a empresa mantinha sob sua guarda. Eles utilizaram aquele ataque para reconstruir inteiramente a segurança de sua rede, utilizando arquiteturas de zero trust que conectam os usuários diretamente aos aplicativos, limitam a movimentação lateral através dos sistemas e monitoram os fluxos de trabalho em suas diferentes implementações de nuvem.

Será que a Colonial Pipeline vai seguir o exemplo?

O que aprendemos com o ataque à Colonial?

Não foi um ataque direcionado a Sistemas de Controle Industrial (ICS) ou de Tecnologia Operacional (OT). Ao contrário do ataque à Saudi Aramco de 2017, esse ataque não tem indicações de ter causado danos físicos aos oleodutos nem ferimentos no pessoal de operações da usina. Esse foi muito provavelmente um ataque que bloqueou os sistemas de TI que gerenciavam o inventário operacional e a logística.
O pagamento do resgate não vai restaurar suas operações a tempo. Uma estratégia de backup e restauração bem planejada e testada pode ser a salvação. O pagamento do resgate só incentiva mais ataques. Um plano de ação urgente de 81 páginas entregue à Casa Branca em abril de 2021 por uma força tarefa público-privada observou que o enriquecimento dos criminosos de ransomware só gera mais crimes em escala global, incluindo o terrorismo.
As seguradoras estão começando a excluir o pagamento de resgates.Aparentemente na primeira iniciativa de uma empresa do setor, a companhia de seguros global AXA disse na quinta-feira que deixaria de aceitar apólices de seguro cibernético na França que preveem o reembolso a clientes por pagamentos mediante extorsão feitos a criminosos de ransomware (e logo em seguida foi atingida por um desses ataques).
O governo dos EUA finalmente está dando atenção a esses casos. A nova ordem executiva da Administração Biden exige que as organizações façam mais do que uma simples abordagem baseada em conformidade. "Até 60 dias após a data desta ordem, o diretor de cada agência federal deverá... desenvolver um plano para implementar a arquitetura Zero Trust".
A prevenção custa muito menos do que a correção após o ataque. É fácil ver que a perda de receita decorrente de paradas não planejadas é muito maior do qualquer investimento feito na defesa contra esses ataques.

Por que a resposta da Norsk Hydro a um ataque de ransomware se transformou no padrão de excelência?

Os ataques de ransomware podem ser reduzidos e evitados. Empresas como a Norsk Hydro já lidaram com esses ataques no passado e compartilharam suas lições aprendidas com o mundo inteiro. O que elas fizeram?

A Norsk Hydro não pagou o resgate.
A empresa divulgou ao público o ataque e foi transparente sobre seu plano de resposta.
Ela denunciou o ataque às autoridades e trabalhou em estreita colaboração com o setor de segurança para evitar ataques a outras empresas.
A Norsk Hydro aproveitou aquela oportunidade para reconstruir, reprojetar e fortalecer sua segurança e infraestrutura.
A empresa não nega a probabilidade de ataques futuros.

Mesmo com o melhor planejamento, a realidade de um ataque bem-sucedido é muito mais difícil. Por exemplo, a Norsk Hydro não podia usar nenhuma das impressoras para imprimir os procedimentos de segurança para o pessoal da usina.

"Se a Hydro ainda não tivesse passado suas comunicações para um serviço de nuvem gerenciado como o O365, a situação teria sido ainda mais grave". - Eivind Kallevik, Executivo em Chefe de Finanças (CFO).

O que sua empresa deve fazer para se programar e prevenir ataques de ransomware?

Avaliar o risco comercial de sua arquitetura de TI e TO e reduzir sua superfície de ataque:

Não entre diretamente no monitoramento de ameaças à ICS sem analisar toda a superfície de ataque.
Faça as perguntas certas ao avaliar sua postura de segurança. Você tem uma rede plana? Suas redes de TI e TO estão compartilhando os mesmos recursos (por exemplo, controladores de domínio)? Suas soluções de segurança de TI de diferentes fornecedores trabalham em conjunto nativamente (como seu gateway web seguro integrado com sua segurança de terminal e solução de SIEM) para quebrar a cadeia de destruição?
Considere estender a zero trust a seus ambientes de TO. Os atacantes não conseguem atingir os sistemas que não podem ser vistos na internet aberta.

As redes de TO desconectadas não atendem às necessidades da empresa:

As estações de trabalho ICS devem ter acesso à internet através do isolamento do navegador. Funcionários de ICS com dois laptops podem criar uma complexidade que acaba gerando problemas de segurança.
Substitua as VPNs pelo acesso à rede de zero trust (ZTNA) usando uma abordagem de perímetro definida por software para o acesso remoto a seus sistemas de TO.

Aplique a segmentação:

Segmente as redes de controle, gerenciamento e de sensores da IIoT nos ambientes de TO.
Não procure fazer uma microssegmentação total, pois não há tempo de inatividade suficiente na rede de TO para implementá-la. A proteção da intersecção de TO e TI trará mais benefícios.

Use a nuvem em seu benefício:

Aprenda com a experiência da Norsk Hydro e passe todas as funções que puder para a nuvem. Isso agiliza a recuperação e melhora a proteção dos sistemas críticos.
Implementar a segurança baseada na Secure Access Service Edge (SASE)é a maneira mais fácil de reduzir a superfície de ataque e a complexidade de sua rede ICS.

No ataque à SolarWinds, um estagiário com uma fraca senha de acesso a um software privilegiado levou à gigantesca violação de milhares de empresas e organizações governamentais, prejudicando a segurança nacional. As senhas compartilhadas usadas na usina de processamento de água em Oldsmar acabaram colocando uma cidade inteira em risco de vida.

A recente ordem executiva demonstra o compromisso de melhorar a postura de segurança das infraestruturas críticas dos Estados Unidos. Como as empresas privadas administram boa parte delas, espera-se que a ordem se estenda também a elas.

As atitudes das empresas que lidam com infraestruturas críticas afetam milhões de pessoas. As empresas responsáveis por infraestruturas críticas devem utilizar as melhores práticas de segurança para garantir a segurança e o bem-estar do público.